Les spam (courriels indésirables)

On les appelle aussi « courriers indésirables » : les spams, ces e-mails non sollicités, sont généralement envoyés en masse à des millions d'adresses e-mail et n'obtiennent bien souvent que très peu de réponses.

Les spammeurs à l'origine de ces envois collectent des adresses e-mail depuis de nombreuses sources à l'aide de divers outils tels que des logiciels capables d'extraire des adresses des répertoires des utilisateurs. Bien souvent, ces adresses e-mail collectées sont ensuite vendues à d'autres spammeurs. Les spams sont véhiculés de diverses manières : certains se présentent sous forme d'escroqueries par e-mail, alors que d'autres servent à lancer des attaques de fraude par e-mail. Un spam peut également se présenter sous forme d'e-mails de phishing. Ces derniers usurpent l'identité d'une marque pour inciter les utilisateurs à révéler leurs informations personnelles, telles que leurs identifiants et coordonnées bancaires.

Parmi les types de spams, on peut retrouver des spams marketing relativement inoffensifs et des menaces plus dangereuses qui permettent aux pirates de dérober des données, de compromettre des comptes ou d'injecter des malwares :

• Fraude par e-mail : ce type de spam concerne les e-mails non sollicités et envoyés en masse afin de promouvoir des produits ou des services. Ils peuvent également inclure des offres promettant de gagner rapidement de l'argent, des fraudes 419 ou différents stratagèmes de fraude pyramidale. Bien que la majorité ne soient que de simples nuisances, certains de ces messages, s'ils ne sont pas détectés, peuvent affecter les performances et la productivité des entreprises.
• E-mails de phishing : certains courriers indésirables contiennent des attaques de phishing. L'objectif de ces e-mails est d'inciter les victimes à divulguer des informations personnelles, comme un numéro de sécurité sociale, des mots de passe ou des coordonnées bancaires. Ces attaques sont généralement envoyées à un très grand nombre de destinataires, professionnels et particuliers, et plus ou moins au hasard, en espérant qu'un petit pourcentage y donnera suite.
• Spams contenant un malware : le spam est souvent utilisé pour distribuer des pièces jointes ou liens malveillants incitant les utilisateurs à télécharger des malwares, des virus ou des ransomwares.

Près de 320 milliards de spams sont envoyés par e-mail au quotidien, et près de la moitié du trafic de messagerie mondial correspond à des spams. S'ils ne sont pas détectés, ces messages non sollicités inondent les boîtes de réception des entreprises. Résultat : les serveurs de messagerie sont submergés, la productivité en pâtit et les malwares se propagent. Chaque année, ce sont près de 20 milliards de dollars de pertes qui sont imputées au spam. Inondant les messageries de courriers indésirables, il nuit à la productivité et impacte la capacité du serveur à traiter les messages.

Plusieurs stratégies de protection contre les spams et autres e-mails non sollicités peuvent être mises en place :

• Déployez un système de filtrage des spams et des virus :la bonne configuration des filtres antispam de votre système de sécurité des e-mails empêchera la majorité des spams d'atteindre les boîtes de réception de vos utilisateurs. Assurez-vous que ce filtrage comprend une analyse antivirus, un établissement du spam score, une analyse des intentions en temps réel, un contrôle de la réputation et une protection des liens et des URL.
• Ne répondez à aucun courrier indésirable :la curiosité pousse souvent les internautes à répondre aux spams, à s'y désabonner ou à demander à obtenir plus d'informations. Mais en répondant à ces e-mails, vous confirmez aux expéditeurs la validité de votre adresse e-mail. Résultat : ils vous en enverront davantage. Apprenez à vos utilisateurs à ne pas répondre aux courriers indésirables et à ne pas les transférer.
• Apprenez aux utilisateurs à identifier des messages de spam et de phishing :si les filtres de spam et autres solutions technologiques peuvent permettre de limiter ces attaques en les empêchant d'atteindre les boîtes de réception, la sensibilisation des utilisateurs sur les dangers des e-mails de phishing demeure un élément essentiel des mesures de cybersécurité mises en place par les entreprises. Les formations visant à sensibiliser les utilisateurs aux questions de cybersécurité aident les employés à reconnaître, éviter et signaler les menaces pouvant compromettre les données et systèmes critiques. Dans le cadre de ces formations, des simulations d'attaques de phishing et autres sont réalisées dans le but de tester le comportement des employés et de leur donner de meilleurs réflexes.